Saldırganların, uzlaşmış sistemlere kalıcı uzaktan erişim elde etmek için saldırganların uzak izleme ve yönetim (RMM) araçlarını (eski adıyla Comodo), PDQ Connect, SimpleHelp ve Atera’yı kullandıkları sofistike bir kimlik avı operasyonu.
Kötü niyetli kurulumcuları meşru tarayıcı güncellemeleri, toplantı veya parti davetiyeleri ve hükümet formları olarak gizleyerek, rakipler kullanıcıların yaygın olarak kullanılan BT yönetim yazılımına olan güvenini kullanırlar.
Red Canary Intelligence ve Zscaler Tehdit Avcıları’ndaki güvenlik araştırmacıları, önce her biri için yaptırımlı uzaktan uygulama araçlarının ve temel davranışların katı bir izin verilmesini oluşturarak RMM tabanlı kimlik avını ortaya çıkardılar.
Saldırganlar bu kampanyayı dört farklı sosyal mühendislik yemine odakladı. Sahte tarayıcı güncellemesi Ploy, kullanıcıları spor veya tıbbi bakım temalı web sitelerinden “krom güncellemesi” yönlendiren bir yer paylaşımına yönlendirir.
Tam ekran iframe, parmak izi tarayıcılarının enjekte edilmiş JavaScript, dil ayarları aracılığıyla coğrafi konum verilerini hasat ve huni etkileşim günlüklerini Panelswp gibi komut ve kontrol (C2) alanlarına göre huni etkileşim günlükleri[.]com ve ejderha[.]bulut.
Mağdurlar Güncelleme düğmesini tıkladıktan sonra, kötü amaçlı bir Dicomportable.exe ve Sideloads Rogue Qt5Core.dll veya Sciter32.dll kütüphanelerini yüklemek için Comodo tarafından imzalanan Itary MSI yükleyicisini indirirler.
Buluşma Davetiyeleri Microsoft ekiplerini taklit edin veya PDQ Connect veya Atera yükleyicilerini bırakmak için güncellemeleri yakınlaştırın. Bu yükler, microsoftteams.msi gibi dosya adlarıyla meşru toplantı yazılımı olarak maskelenir.
Saldırganlar Cloudflare R2 Nesne Depolama’dan yararlanıyor- URL’leri Form Pub-<32-character>.r2.Dev-klasik bir canlı güvenilir hizmet taktiği olan Atera montajcılarını barındırmak için.
Yürütme üzerine, AteraageSt işlemi, rakip kontrollü e-posta hesaplarıyla sahte bir integratorlogin parametresini kaydederek, yetkisiz kiracıları uzaktan komutlara maruz bırakır.
Parti E-Invite Lures, kimlik avı e-postaları aracılığıyla PDQ Connect veya Atera’yı dağıtarak “Parti Kart Görüntüleyicisi” veya “E-Invite” etiketli MSI dosyalarını dağıtın.
SimpleHelp, bir einvite.exe yükten çıkıyor GO-envitelabel[.]com ve derhal ConnectWise’ın iptal edilmiş bir sertifika ile imzalanmış screenconnect’i yükler.
IRS W-9’ları veya Sosyal Güvenlik ifadelerini taklit eden devlet biçimi temalı sayfalar, bazıları ikincil yürütülebilir ürünler aracılığıyla ek RMM araçlarına zincirlere sahip olan PDQ Connect veya SimpleHelp yükleyicileri sunar.
Kimlik avı alan adları onlinebazar içerir[.]ABD ve DutementsonLineViewer[.]com, genellikle sahte IRS panolarına ev sahipliği yapıyor.
Kalıcılık oluşturmak
Rakipler, gereksiz erişim yollarını sağlamak için sık sık iki RMM aracı hızlı bir şekilde yerleştirir. İlk araç temel uzaktan erişim işlevselliğini dağıtır; İkincisi genellikle kimlik hırsızlığı veya keşif yükleri yürütür.
Kalıcılık, kayıt defteri çalıştırma anahtarlarını, rmmservice.exe veya dicomportable.exe gibi RMM ikili dosyalarını standart olmayan dizinlerden otomatik olarak yeniden adlandırarak değiştirerek elde edilir.
Tehdit avcıları, örneğin, pdq-connect-agent.exe adlı veya komut satırında “integratorlojin” dizeleri içeren atteraagent.exe invokasyonlarını tespit ederek kötü niyetli RMM kullanımını tanımlamak için süreç analitiğinin kullanıldığını not eder.
Bu operasyonların gizliliği, meşru BT operasyonlarının taklitçiliğinde yatmaktadır. Son nokta etkinliği rutin yönetim görevleri olarak görünürken, C2 alanlarına ağ bağlantıları meşru hizmet trafiği ile harmanlanır.
Zscaler ayrıca, güvenilir platformların yaratıcı kötüye kullanımının altını çizerek, pesfiltrasyon ve C2 koordinasyonu için istismar edilen telgraf bot API kanallarını gözlemledi.
Hafifletme
Beklenmedik dizinlerde, beklenmedik komut satırı parametrelerinde veya tanınmayan alanlardan MSI indirmelerinden yeni yüklenen RMM ikili dosyalarının izlenmesi kötü niyetli etkinlikleri erken yüzeyebilir. Tarayıcı izolasyonu ve genişletilmiş ağ çıkış filtrelemesi – özellikle Cloudflare R2 ve diğer lot hizmetlerinden dosya indirmeleri için – daha iyi kaldırım pozlaması.
C2 alan adları dahil panelswp[.]com– dragonshop[.]cloudVe abounour[.]com. Yapısal olarak neredeyse aynıdı ve bir WP-panel giriş paneli içeriyordu.
Sağlam uç nokta algılama ve yanıt (EDR) sensörlerine yatırım yapmak, RMM kenar yüklemeyi gösteren süreç oluşturma, dosya yazma ve kayıt defteri değişikliklerine görünürlüğü artırır.
Anormal veya yeni kayıtlı alanlarla bayrak iletişimi için DNS ve proxy günlükleri ile birleştiğinde, özellikle .pro, .shop veya .top gibi ucuz TLD’ler – güvenlik ekipleri, yanal yayılma veya fidye yazılımı dağıtımından önce uzlaşmış konakçıları karantina edebilir.
Bu kimlik avı tekniklerini anlayarak ve hassas algılama analizi güvenlik operasyonlarına yerleştirerek, savunucular, RMM araçlarını gizli, kalıcı erişim için silahlandıran rakiplere tabloları çevirebilir.
Sürekli tehdit avı, onaylanmış izin verileri ve katmanlı ağ kontrolleri, uzaktan yönetim çerçeveleri fidye yazılımı veya veri açığa çıkmadan önce bu kampanyaları bozmak için kritik öneme sahiptir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.